米商務省の国立標準技術研究所(NIST)は米国時間2008年9月18日,米Appleの音楽/動画再生ソフトウエア「QuickTime 7.5.5」「iTunes 8.0」にセキュリティ・ホールが存在すると警告した。サービス拒否(DoS)攻撃や遠隔コード実行に悪用される恐れがある。これらのソフトウエアにはMac OS X版とWindows版があるが,NISTでは対象となるOSについては言及していない。
NISTの指摘によると,QuickTime 7.5.5/iTunes 8.0にバッファ・オーバーフローを起こすバグがあり,WebブラウザをクラッシュさせるDoS攻撃を受けたり,悪質なコードを実行されたりする危険がある。細工が施されたQuickTime用タグを含むWebページを閲覧したり,特殊な「.mp4」「.mov」形式ビデオ・ファイルを再生したりする形で攻撃を受けるという。
米国政府向けの技術支援や研究開発を行う非営利組織MITREは,このセキュリティ・ホールにぜい弱性識別番号(CVE ID)「CVE-2008-4116」を割り当てた。セキュリティ・ホール危険度評価指数CVSS(Common Vulnerability Scoring System)バージョン2.0の値は,Base Scoreが9.3,Impact Subscoreが10.0,Exploitability Subscoreが8.6(関連記事:【CSIRTメモ】ぜい弱性の評価基準「CVSS」に新バージョン)。
米メディア(CNET News.com)によると,現在のところ有効な回避策や修正パッチはなく,Appleも情報を公開していないという。
別の米メディア(InfoWorld)は,このセキュリティ・ホールを攻撃するコードが既にリリースされたと報じている。
[発表資料へ]
